前言
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛的应用。Facebook、Twitter和Google等各种在线服务都提供了基于OAuth规范的认证机制。
OAuth一般用于面向第三方大范围公开的API中的认证工作。换言之,假设带有用户注册功能的在线服务A(例如腾讯qq)对外公开了API,在线服务B(例如百度网盘)便可使用这些在线服务A的API提供的各种功能。这种情况下,当某个已在qq里注册的用户需要百度网盘的在线服务时,网盘的在线服务就会希望访问qq来使用该用户信息。这时,判断是否允许网盘使用该用户在qq里注册的信息的机制就是OAuth。
OAuth
OAuth的关键是,在使用百度网盘的在线服务时,用户无需再次输入qq的密码。为了实现这一机制,认证过程中会通过qq提供的Web页面,让用户确认是否允许访问向百度网盘的在线服务提供qq账户信息。如果尚未登录qq,则需要用户输入密码,这一过程也是只在qq里完成登录,并不会把密码发送给百度网盘的在线服务。
如果通过OAuth访问成功,网盘就可以从qq中获取一个名为access token的令牌。通过该token,便可访问qq中用户允许访问的信息。
OAuth最主要的优点在于它是一种被广泛认可的认证机制,并且已经实现了标准化。
OAuth2.0的认证流程
| Grant Type | 作用 |
|---|---|
| Authorization Code | 适用于在服务端进行大量处理的web应用 |
| Implicit | 适用于智能手机应用及使用JavaScript客户端进行大量处理的应用 |
| Resource Owner Password Credential | 适用于不使用服务端的应用 |
| Client Credentials | 适用于不以用户为单位来进行认证的应用 |
其中Resource Owner Password Credential模式就是不存在网站B,客户端直接从用户那里得到密码,并从服务器A那里获取access token。这一授权模式就能够应用在公司内部所开发的客户端应用中。
使用Resource Owner Password Credential模式进行认证时,在访问API时需要将参数以application/x-www-form-urlencoded的形式(也就是表单的形式),进行UTF-8字符编码后向服务器发送
| 键值(key) | 内容 |
|---|---|
| grant_type | 字符串password。表示使用了Resource Owner Password Credential |
| username | 登录的用户名 |
| password | 登录的密码 |
| scope | 指定允许访问的权限范围 |
最后的scope一栏用来指定允许访问的权限范围。权限范围的名称可以由在线服务独自定义,可以使用除空格、双引号、反斜杠以外的所有ASCII文本字符。通过使用scope,就能在外部服务(在线服务B)获取token的同时对允许访问的范围进行限制,还能向用户显示“该服务会访问以下信息”等提示。虽然scope不是必选项,但还是建议事先定义好。
示例:
POST /v1/oauth2/token HTTP/1.1 Host: api.example.com Authorization: Basic XXXXXXXXXXXXXXXXXXXXXXXXX Content-Type: application/x-www-form-urlencoded grant_type=password&username=zhang&password=zhang&scope=api
示例请求中还附加Authorization首部,称为客户端认证(Client Authorization)。它用来描述需要访问的服务(即在线服务B)是谁。
在应用登录在线服务时,这些服务就会向其发行Client ID和Client Secret视为用户名/密码,并以Basic认证的形式经Base64编码后放入Authorization首部。Client ID和Client Secret可以任意使用,服务器端可以依据这些信息识别出当前访问的服务的应用身份。比如服务端对各个应用访问API的次数进行限制时,或者希望屏蔽一些未经授权的应用时,就可以使用Client ID和Client Secret。
当正确的信息送达服务器后,服务器端便会返回如下JSON格式的响应:
HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pargma: no-cache { "access_token": 'zskldjflsdjflksjdflkjsd' "token_type": "bearer", "expires_in": 2629743, "refresh_token": 'ajsldkjflskdfjldfg' }
token_type中的bearer是RFC6750中定义的OAuth2.0所用的token类型。access_token是以后访问时所需的access token。在以后访问API时,只需附带发送该token信息即可。这时无需再次发送ClientID和ClientSecret信息了。因为各个不同的客户端都会从服务器端得到特定的access token,即使之后没有ClientID,服务端也同样可以用access token信息来识别应用身份。
根据RFC6750的定义,客户端有3种方法将bearer token信息发送给服务器端:
- 添加到请求信息的首部
- 添加到请求消息体
- 以查询参数的形式添加到URL中
1、将token信息添加到请求消息的首部时,客户端要用到Authorization首部,并按下面的形式指定token的内容:
GET /v1/users/ HTTP/1.1
Host: api.example.com
Authorization: Bearer zskldjflsdjflksjdflkjsd
2、token信息添加到请求消息体中,则需要将请求消息里的Content-Type设定为application/x-www-form-urlencoded,并用access_token来命名消息体里的参数,然后附加上tokan信息
POST /v1/users HTTP/1.1 Host: api.example.com Context-Type: application/x-www-form-urlencoded access_token=zskldjflsdjflksjdflkjsd
3、以查询参数的形式添加token参数时,可以在名为access_token的查询参数后指定token信息。
GET /v1/users?access_token=zskldjflsdjflksjdflkjsd HTTP/1.1 Host: api.example.com
access token的有效期和更新
客户端在获得access token的同时也会在响应信息中得到一个名为expires_in的数据,它表示当前获得的access token会在多少秒以后过期。当超过该指定的秒数后,access token便会过期。当access token过期后,如果客户端依然用它访问服务,服务端就会返回invalid_token的错误或401错误码。
HTTP/1.1 401 Unauthorized Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "error": "invaild_token" }
当发生invalid_token错误时,客户端需要使用refresh token再次向服务端申请access token。这里的refresh token时客户端再次申请access token时需要的另一个令牌信息,它可以和access token一并获得。
在刷新access token的请求里,客户端可以在grent_type参数里指定refresh_token,并和refresh_token一起发送给服务器端。
POST /v1/oauth2/token HTTP/1.1 Host: api.example.com Authorization: Bearer zskldjflsdjflksjdflkjsd Content-Type: application/x-www-form-urlencoded grent_type=refresh_token&refresh_tokne=ajsldkjflskdfjldfg
封装Axios实现无感刷新token
- utils/oauth.js
const TokenKey = 'access_token' const ExpiresKey = 'expires_in' const TokenTypeKey = 'bearer' const RefreshTokenKey = 'refresh_token' export function getToken () { return localStorage.getItem(TokenTypeKey) + ' ' + localStorage.getItem(TokenKey) } export function getRefreshToken () { return localStorage.getItem(RefreshTokenKey) } export function setToken (data) { const ExpiresTime = new Date().getTime() + data.expires_in * 1000 localStorage.setItem(TokenKey, data.access_token) localStorage.setItem(ExpiresKey, ExpiresTime) localStorage.setItem(TokenTypeKey, data.token_type) localStorage.setItem(RefreshTokenKey, data.refresh_token) } export function removeToken () { localStorage.removeItem(TokenKey) localStorage.removeItem(ExpiresKey) localStorage.removeItem(TokenTypeKey) localStorage.removeItem(RefreshTokenKey) }
- request.js
import axios from 'axios' import Vue from 'vue' import { removeToken } from '@/utils/oauth' const server = axios.create({ baseURL: baseUrl, withCredentials: true }) // 用于记录是否正在刷新token,以免同时刷新 window.tokenLock = false function refreshToken () { if (!window.tokenLock) { server.put('/oauth/refresh').then(({data}) => { const ExpiresTime = new Date().getTime() + data.expires_in * 1000 localStorage.setItem('access_token', data.access_token) localStorage.setItem('expires_in', ExpiresTime) localStorage.setItem('token_type', data.token_type) localStorage.setItem('refresh_token', data.refresh_token) }) window.tokenLock = true } } server.interceptors.request.use(req => { req.headers['Authorization'] = `${localStorage.getItem('token_type')} ${localStorage.getItem('access_token')}` return req }, error => { return Promise.reject(error) }) server.interceptors.response.use(rep => { // 如果距离过期时间还有10分钟就使用refresh_token刷新token const expiresTimeStamp = new Date(Number(localStorage.getItem('expires_in'))).getTime() - new Date().getTime() if (expiresTimeStamp < 10 * 60 * 1000 && expiresTimeStamp > 0) { if (rep.config.url.indexOf('current') < 0) { refreshToken() } } return rep }, error => { if (error.response.status === 401) { // 401错误:token失效或登录失败 // 如果是在登录页报错的话直接显示报错信息,否则清除token if (location.href.indexOf('login') > 0) { Vue.prototype.$notify.error({ title: '错误', message: error.response.data.message }) return } removeToken() location.reload() } return Promise.reject(error) }) export default server
作者: zhangwinwin
链接:OAuth2.0与前端无感知token刷新实现
来源:github